O Container Registry foi descontinuado e está programado para desativação. Após 15 de maio de 2024, o Artifact Registry hospedará imagens para o domínio gcr.io em projetos sem uso anterior do Container Registry. Após 18 de março de 2025, o Container Registry será desativado.

Para começar a gerenciar contêineres no Google Cloud, use o Artifact Registry. Se você usa o Container Registry, saiba como fazer a transição para o Artifact Registry para gerenciar seus contêineres no Google Cloud.

Para mais informações sobre a descontinuação e a desativação, consulte a página de descontinuações e as notas da versão.

Práticas recomendadas para contêineres

Nesta página, você encontra informações sobre práticas recomendadas para criar e executar imagens de contêiner.

Como criar contêineres

A abordagem adotada para criar imagens de contêiner pode afetar a velocidade de builds e implantações, bem como o esforço necessário para manter as imagens.

Conheça as práticas recomendadas para criar contêineres mais fáceis de criar e executar.

Você também pode ler as práticas recomendadas do Docker para criar imagens.

Como operar contêineres

Conheça as práticas recomendadas para operar contêineres. Essas práticas incluem recomendações para segurança, monitoramento e geração de registros que facilitam a execução de aplicativos no Google Kubernetes Engine e em contêineres em geral.

Considerações para registros públicos

Considere cuidadosamente os seguintes casos:

Usar imagens de fontes públicas

Ao usar imagens de fontes públicas, como o Docker Hub, você está introduzindo um código que sua organização não controla na cadeia de suprimentos de software. Para mitigar o risco, você pode:

Crie suas próprias imagens para controlar o conteúdo delas.
Use uma imagem de base padronizada e crie com base nela.
Verifique imagens em busca de vulnerabilidades e resolva as vulnerabilidades identificadas.
Aplique padrões e políticas nas imagens que você implantar.

Saiba mais sobre considerações para imagens públicas

Como tornar seus registros públicos

É possível tornar público o registro no projeto do Google Cloud concedendo acesso de leitura à identidade allUsers no bucket de armazenamento do registro.

Se todos os seus usuários tiverem contas do Google Cloud, você poderá limitar o acesso a usuários autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar um registro público:

Verifique se todas as imagens armazenadas no registro são compartilháveis publicamente e não expõem credenciais, dados pessoais ou dados confidenciais.
É feita uma cobrança pela saída de rede quando os usuários extraem imagens. Se você espera muito tráfego de download da Internet, considere os custos associados.
Por padrão, os projetos têm cota ilimitada por usuário. Para evitar abusos, limite a cota por usuário no seu projeto.

Como remover imagens não usadas

Remova imagens de contêiner não utilizadas para reduzir custos de armazenamento e diminuir os riscos de usar software mais antigo. Há várias ferramentas disponíveis para ajudar nessa tarefa, incluindo a gcr-cleaner. A ferramenta de limpeza do gcr não é um produto oficial do Google.

Como avaliar a segurança do contêiner

O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.

O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.

O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.

Como proteger implantações

Aprenda a criar uma cadeia de suprimentos de software segura e a usar a verificação de vulnerabilidades e a autorização binária no Google Cloud para definir e aplicar políticas de implantação.

Você também pode assistir um vídeo que descreve como proteger sua cadeia de suprimentos de software.